Blogこのシリーズのパート1では、NDRとXDRの違いについて説明しました。前述のように、XDRは通常、EDRとNGFWの両方の技術を組み合わせた単一ベンダーのソリューションとして提供されるのが主となります。
しかし、EDRとNGFWの技術には、スループット、可視性、サポートされるプラットフォームなど固有の制限があります。これらの制限により、保護と可視性の間にギャップが生じ、結果的に対処が困難となる死角が生じます。
EDRおよびNGFWの制限
EDRは、各エンドポイントにエージェントを必要とし、エンドポイントのファイルシステム、プロセス、および特定のエンドポイントとの間のネットワークトラフィックのみに焦点を当てています。市場には様々なEDR製品がありますが、プリンター、IP電話、サーモスタット、防犯カメラなどのデバイスにエージェントを展開することができないため、大規模な組織ではその展開の際に問題が発生することがよくあります。さらに、新しいエンドポイントが導入された場合、常に適切に実行されるとは限らず、新しいエンドポイントが長時間監視されないといった可能性を生じることになります。
NGFW技術は、エンタープライズゲートウェイの保護、インバウンドおよびアウトバウンドトラフィックのブロック、IDS/IPSのシグネチャルールセットの適用、およびIPアドレスのブロックと許可リストの実行を可能にするために重要となります。これらのアプライアンスの機能は広範囲ですが、機械学習で必要なコンピュートリソースに要するオーバーヘッドとフルパケットの検査により、NGFWアプライアンスが、UEBAまたは信頼の高い機械学習を実行することはもちろん、様々なメトリックでネットワークトラフィックを完全に評価することは不可能ではないにしても非常に困難です。
NGFWプラットフォームは、複数の高度な機能を有効化するときにスループットの問題にも直面し、トラフィックに関連するボトルネックを生じます。特定のトラフィックストリームに対してIDS/IPSのシグネチャルールが検知されたトラフィックの許可/ブロックおよびログデータのハイレベルなビューを得ることが可能となりますが、この種の分析は、セキュリティ体制を改善するのには役立ちますが、NDRが提供する詳細な分析には至りません。
一部の企業はNGFW技術を使用して企業ネットワークの重要なセクションをセグメント化していますが、これらのアプライアンスは、East-Westネットワークのトラフィックの大部分のログデータをキャプチャするために必要とされるゼロトラストデプロイメントモデルに対して、効果的ではありません。
XDRの正しい実装に必要不可欠な完全にオープンなアーキテクチャ
XDRプラットフォームにはさまざまな利点がありますが、セキュリティ専門家にとって不利益となるベンダーロックインとなる可能性があります。XDRプラットフォームを利用するために異なるレイヤのツールを活用することにより、セキュリティ専門家は、XDRベンダーが主張する単純さと引き換えに、ネットワークのセキュリティを低下させる可能性があります。 XDRによってアナリスト作業の効率性が増すことは表面上、理にかなっているように見えますが、クラス最高のソリューションを使用しないことによってセキュリティリスクが生じることになります。必要な可視性を得るために他のツールに頼らなければならないとなると、アナリストには余分な負担がかかります。
さらに、XDRによるベンダーロックインは、より適切でクラス最高のツールへの移行を検討しているセキュリティチームには別の新たなハードルとなり、部分的に製品をリプレイスするのではなく、広範囲に及ぶツールキットのリプレイスに紐付く新たなコストの検討が必要となります。これは表面上、安価に見えるかもしれませんが、セキュリティ専門家は、XDRプラットフォームの導入によって、クラス最高のツールを活用した統合が妨げられることに注意を払う必要があります。
将来を見据えて
セキュリティ業界の将来に目を向ける際、過去の傾向に留意することは重要です。過去20年の業界の進化により、データを収集して保存するだけの単純なツールから、信頼性の高い機械学習ベースの検知およびレスポンスへシフトしています。
EDR製品は、詳細な調査およびフォレンジックツールを使用して、レスポンスおよびリカバリの自動化を構築するために常に取り組んでおり、アナリストの作業をより効率的にします。SIEMおよびSOAR製品は、ベンダーに依存しない自動レスポンス機能のための機械学習およびプレイブックなど広範なツール統合を可能にします。
次世代のSIEMおよびSOARと統合するXDR製品もあります。ベンダー固有のログデータとベンダー固有の機械学習機能を組み合わせて、より信頼性の高いデータとログの集約を実現します。さまざまなデータソースで一体何が起こっているかについて、セキュリティチームが全体像を理解するのに役立つ統合分析機能を提供するという目標は理にかなっていますが、単一のベンダーを通じてそれを達成しようとするのはあまりにも非現実的です。
XDRは、アナリストにワンクリックの分析とフォレンジックインターフェースのソリューションを提供する可能性がありますが、それはベンダーがオープンインターフェースを提供し、ネイティブな検知およびレスポンスを強化するための最善なツールと統合された場合のみ可能となるソリューションです。
ExtraHopは、洗練されたセキュリティ運用においてインテリジェントな統合が最適なオプションであることを信じて疑いません。オールインワンソリューションは、多くの場合、その目標とは裏腹にお客様が本当に必要とする機能を正しく提供しません。Reveal(x)は、最善のNDRソリューションであることを我々は信じています。
NDRは、他のデータソースでは不可能な方法でカバレッジを提供する、セキュリティの重要なコンポーネントです。検知とレスポンスはサイバーセキュリティの未来であり、ネットワークはその未来の主要なデータソースとなります。
